WIN10默认浏览器安全漏洞曝光:可致密码被窃取
- A
日前,安全专家Manuel Caballero在微软WIN10操作系统默认的浏览器Edge中发现了一个安全漏洞,该漏洞能够让黑客从用户的计算机中获取到密码和cookie数据。
据Caballero在YouTube上传了一段视频,用来演示了如何利用Edge浏览器最新的USXX/SOP漏洞绕过社交网站的安全机制,获取到用户的cookie数据和社交媒体帐号密码、甚至是获取到用户的“隐私信息”访问权限。
据悉,SOP机制本来是Edge浏览器的一种安全机制,能够阻止在一个域当中所使用的cookie数据和密码数据被另一个域所访问到,但该漏洞也能够完全让SOP机制被黑客利用于发起攻击,窃取信息。
截至目前,微软似乎并没有很好的处理这款功能,这已经是安全专家们在SOP当中发现的第三个漏洞了,而且前两个被发现和公布的漏洞至今也没有被及时的修复。
对此,Caballero指出,微软对于其Edge浏览器并没有一个规律性的漏洞修复周期,这也是导致安全专家能够反复发现类似问题的原因之一。
如果笔者没有记错的话,今年3月时,腾讯安全战队在加拿大温哥华Pwn2Own 2017首日比赛中首战告捷,成功攻破的就是微软的Edge浏览器,当时利用了一个Edge漏洞和一个沙箱穿透漏洞,十秒就完美攻破微软Edge浏览器。
我们知道,微软一直都比较看重Edge浏览器,而且非常强调其安全性,因此微软在其中设计了大量的漏洞防御措施,结合WIN10操作系统本身的强大安全措施,很难对其进行漏洞攻击。
因此,理论上来说,Edge浏览器具备抵御网络共计方面的强能力,也被誉为是微软最安全的网页浏览器,但很不幸的是,近来被曝出了大量的安全漏洞。
但终归来说,微软对于自家的浏览器一直还是不太愿意放弃,从IE到Edge浏览器,按照微软方面的说法,其在Edge浏览器上砍掉了22万行MSHTML程序代码、300多个API及6种文件模式,从使得Edge浏览器变得更加精简、更加节省能耗。
其一段时间微软还专门在WIN10创意者更新系统平台上做了一个测试,用实验数据向世人宣告Edge浏览器在省电上要更胜一筹。
如今,在笔者看来,这样的实验似乎显得有些不如正业,虽然漏洞这东西对于正常人来说根本难以发觉,但一旦被公布出来就可能被不法分子非法利用,更何况安全专家们公布的几个漏洞至今还没有修复,如何让人还能安心的使用Edge浏览器呢?
如果微软能够像修复其被谷歌的Project Zero公布的称之为是最糟糕的漏洞那样迅速的话,相信Edge浏览器会更加值得我们的信赖!
